Question#1(SAA-C03)

ソリューションアーキテクトは、企業のオンプレミスネットワークをVPCに接続して、AWSリソースへのオンプレミスからのアクセスを可能にする必要があります。このソリューションは、企業ネットワークとVPC間のすべてのトラフィックをネットワーク層およびセッション層で暗号化する必要があります。また、AWSとオンプレミスシステム間の無制限なアクセスを防ぐためのセキュリティ制御も提供する必要があります。以下のどのソリューションがこれらの要件を満たしますか？

A. WS Direct Connectを構成してVPCに接続します。VPCルートテーブルを構成して、AWSとオンプレミス間のトラフィックを必要に応じて許可および拒否します。
B. 定義された企業IPアドレスからのみAWSマネジメントコンソールへのアクセスを許可するIAMポリシーを作成します。IAMポリシーとロールを使用して、職務責任に基づいてユーザーアクセスを制限します。
C. AWS Site-to-Site VPNを構成してVPCに接続します。ルートテーブルエントリを構成して、オンプレミスからVPCへのトラフィックを誘導します。インスタンスのセキュリティグループとネットワークACLを構成して、オンプレミスからの必要なトラフィックのみを許可します。
D. AWS Transit Gatewayを構成してVPCに接続します。ルートテーブルエントリを構成して、オンプレミスからVPCへのトラフィックを誘導します。インスタンスのセキュリティグループとネットワークACLを構成して、オンプレミスからの必要なトラフィックのみを許可します。

正解と解説ディスカッション 0

正解：C

接続: AWS Site-to-Site VPNは、IPsec VPNを使用してオンプレミスネットワークとVPCを安全に接続します。これにより、ネットワーク層での暗号化（IPsecによる）が提供されます。暗号化: IPsec VPNは、ネットワーク層での暗号化を提供します。また、必要に応じてアプリケーション層（セッション層）での暗号化（例：TLS）を追加で構成可能です。問題文ではセッション層の暗号化が必須とされていますが、Site-to-Site VPNはネットワーク層での暗号化を確実に提供し、セッション層の暗号化はアプリケーション側で補完可能です。セキュリティ制御: ルートテーブル、セキュリティグループ、ネットワークACLを構成することで、トラフィックを必要なものに限定し、無制限なアクセスを防ぎます。この選択肢は、暗号化とセキュリティ制御の両方の要件を満たすため正解です。

Question#1(SAA-C03)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル